Auch Linux-Thunderbird führt Shell-Befehle aus
Auch der Mail-Client weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden.
Auch Thunderbird weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.
Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.
Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.
Siehe dazu auch: (dmk)
- Security Advisory von Secunia
- Bugzilla-Eintrag zur Lücke in Firefox